Den palæstinensiske APT-gruppe TA402, også kendt som Molerats blev spottet ved hjælp af et nyt implantat ved navn NimbleMamba i en cyberspionagekampagne, der udnytter geofencing og URL-omdirigeringer til legitime websteder.
Kampagnen blev opdaget af Proofpoint, hvis analytikere observerede tre variationer af smittekæden, der alle var rettet mod regeringer i mellemøstlige lande, udenrigspolitiske tænketanke og et statsejet flyselskab.
Hvad angår tidslinjen for de seneste angreb, brugte hackerne først NimbleMamba i november 2021 og fortsatte operationen indtil slutningen af januar 2022.
Infektionskæden
I de fleste angreb bruger TA402 spyd-phishing-e-mails, der indeholder links til malware-slippe websteder. Ofrene skal være inden for det målrettede omfang, eller de omdirigeres til legitime nyhedswebsteder. Hvis målets IP-adresse svarer til det definerede målrettede område, tabes en kopi af NimbleMamba på deres system i en RAR-fil. Proofpoint observeret tre forskellige vedhæftede kæder med små variationer vedrørende temaet phishing lokke, omdirigering URL, og malware-hosting sites.
NimbleMamba
Proofpoint mener, at TA402 udviklede NimbleMamba til at erstatte LastConn, en bagdør og malware downloader udsat i en juni 2021 rapport fra samme firma. Til gengæld menes LastConn at have erstattet SharpStage, udsat af Cybereason, i december 2020.
TA402 har vist deres evne til hurtigt at udvikle nye brugerdefinerede værktøjer, når deres eksisterende sæt er afdækket og typisk går gennem en periode med tydelig pause, når de opdateres. NimbleMamba har uundgåeligt nogle kodeligheder med LastConn, men disse er begrænset til programmeringssproget, C2 kodning ordning, og brugen af Dropbox API til kommunikation.
Det nye værktøj har meget mere sofistikerede anti-analysesystemer og indeholder flere rækværk for at sikre, at det kun udføres på målrettede maskiner. Værten skal f.eks. have den arabiske sprogpakke installeret, og malwaren skal kunne oprette forbindelse til fire IP-geolocation API-tjenester. Ellers vil det ikke kører. Hvis forudsætningerne er opfyldt, henter NimbleMamba sin konfiguration fra en JustPaste.it side, som indeholder den slørede API-godkendelsesnøgle til C2-kommunikation.
“NimbleMamba har de traditionelle kapaciteter af en intelligens-indsamling trojan og er sandsynligvis designet til at være den første adgang,” forklarer Proofpoint i en rapport. “Funktionaliteter omfatter optagelse af skærmbilleder og opnåelse af procesoplysninger fra computeren. Derudover kan det registrere brugerinteraktion, såsom at lede efter musebevægelser.”
RAR-filerne hentet fra Dropbox indeholder ikke altid kun NimbleMamba, da analytikerne også hentede BrittleBush trojan, som sandsynligvis bruges som backup-værktøj.
TA402 er blevet udsat
Nu, hvor det opdaterede værktøjssæt af TA402 er blevet udsat igen, forventes hackerne at gå i dvale i et stykke tid for at udvikle nye værktøjer. Allerede de domæner, der bruges til at levere NimbleMamba- og C2-kommunikation, er blevet taget offline. Det kritiske er, at den særlige aktør opretholder det samme målfokus, tjener de samme pro-palæstinensiske mål og bruger hovedsageligt phishing-e-mails til at indlede infektionskæden.
Kilde: BleepingComputers
